Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk melindungi resource Pencadangan untuk GKE. Untuk mengetahui informasi Kontrol Layanan VPC selengkapnya, baca Ringkasan Kontrol Layanan VPC.
Sebelum memulai
Pastikan Anda telah memiliki izin IAM yang diperlukan untuk mengelola Kontrol Layanan VPC.
Membuat perimeter layanan untuk melindungi resource Pencadangan untuk GKE
Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.
Jika diminta, pilih Organisasi Anda.
Di halaman Kontrol Layanan VPC, klik Perimeter Baru.
Di halaman Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter.
Pilih project yang ingin Anda amankan dalam perimeter:
Klik tombol Tambahkan Project.
Untuk menambahkan project ke perimeter, di dialog Tambahkan Project, pilih kotak centang project tersebut.
Klik tombol Tambahkan n Project, dengan n adalah jumlah project yang telah Anda pilih di langkah sebelumnya.
Pilih Pencadangan untuk GKE yang akan diamankan di dalam perimeter:
Klik tombol Tambahkan Layanan.
Untuk mengamankan Pencadangan untuk GKE dalam perimeter, di dialog Tentukan layanan yang akan dibatasi, pilih kotak centang Pencadangan untuk GKE.
Klik tombol Tambahkan Backup for GKE API.
Klik tombol Simpan.
Anda telah membuat perimeter layanan yang membatasi akses ke resource Pencadangan untuk GKE. Perimeter layanan mungkin memerlukan waktu sampai 30 menit hingga dapat diterapkan dan berlaku. Setelah perubahan diterapkan, maka akses ke Pencadangan untuk GKE akan dibatasi untuk project yang Anda tambahkan ke perimeter. Misalnya, tidak akan ada rencana pencadangan atau pencadangan yang dapat dibuat dari luar perimeter, kecuali jika secara eksplisit diizinkan oleh aturan masuk.
Detail cara kerja Pencadangan untuk GKE menggunakan perimeter layanan
Jika Pencadangan untuk GKE tidak termasuk dalam daftar layanan aksesibilitas VPC perimeter layanan, pencadangan dan pemulihan mungkin akan gagal meskipun Anda dapat membuat pencadangan atau pemulihan menggunakan Konsol Google Cloud atau gcloud CLI. Hal ini karena agen Pencadangan untuk GKE berjalan di cluster GKE Anda (dalam perimeter layanan) dan memerlukan akses ke Pencadangan untuk GKE agar dapat melakukan pencadangan dan pemulihan.
Pencadangan untuk GKE tidak mendukung pencadangan dan pemulihan lintas project sehingga tidak ada pengaruhnya membuat kebijakan egress untuk mengizinkan akses ke resource Pencadangan untuk GKE di project lain. Menurut definisi, ketidakmampuan ini dikarenakan jika project berada dalam perimeter layanan, semua cluster GKE-nya dianggap berada di dalam perimeter layanan.